Spendesk, eine französische vereinfachte Aktiengesellschaft, eingetragen im Handelsregister von Paris unter der Nummer 821 893 286 und mit Hauptsitz in 51, rue de Londres - 75008 Paris (Frankreich), bietet eine intuitive Lösung, die Unternehmen dabei hilft, ihre Geschäftsausgaben besser zu verwalten, zu bezahlen und zu verfolgen, die im Internet und als mobile Anwendung verfügbar ist (nachstehend die „Spendesk-Lösung“), und ist Herausgeber der Websites www.spendesk.com und www.cfoconnect.eu/ (nachstehend die „Website“).
Inhaltsverzeichnis
- A. Allgemeines / Einleitung
- B. Datenschutzbeauftragter von Spendesk
- C. Status und Verantwortlichkeiten von Spendesk
- D. Einzelheiten zu den von Spendesk verarbeiteten personenbezogenen Daten
- E. Einsatz von Unterauftragsverarbeitern
- F. Sicherheitsmaßnahmen
- G. Hosting und Übertragung von personenbezogenen Daten
- H. Ihre Rechte in Bezug auf Ihre personenbezogenen Daten
A. Allgemeines / Einleitung
Im Rahmen seiner Geschäftstätigkeit kann Spendesk personenbezogene Daten verarbeiten, die verschiedenen Kategorien von Personen gehören. Diese personenbezogenen Daten können auf der Website, in der Spendesk-Lösung oder von Drittpartnern, die selbst Verantwortliche sind (Veranstaltungspartner, Personalvermittlungsplattformen usw.), erhoben werden und werden für die nachstehend genannten Zwecke verarbeitet.
Personenbezogene Daten sind sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als „identifizierbare natürliche Person“ gilt insbesondere eine natürliche Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, einer Telefonnummer, einer E-Mail-Adresse, Standortdaten oder einer Onlinekennung.
Durch den Abschluss und/oder die Nutzung der Website und/oder der Spendesk-Lösung erkennen Sie an und erklären sich damit einverstanden, dass Spendesk bestimmte personenbezogene Daten über Sie sowie bestimmte Informationen über Ausgaben, die mit den Tools getätigt und/oder über die Spendesk-Lösung aufgezeichnet werden, verarbeitet. Darüber hinaus setzt Spendesk Sicherheitsmaßnahmen um, um die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer personenbezogenen Daten zu gewährleisten und den Zugriff auf diese Daten auf lediglich Personen zu beschränken, die diese kennen müssen.
Diese Datenschutzerklärung soll beschreiben, wie Spendesk Ihre personenbezogenen Daten für die nachstehend aufgeführten Zwecke verarbeitet, und Sie über Ihre diesbezüglichen Rechte informieren. Sie kann aktualisiert werden, insbesondere bei Änderungen der Vorschriften über personenbezogene Daten oder bei der Aktualisierung der Verarbeitungen. Die geltende Version ist diejenige, die am Tag Ihrer Nutzung der Website und/oder der Spendesk-Lösung auf der Website zugänglich ist.
Nachfolgend finden Sie die wichtigsten Antworten auf Fragen, die Sie möglicherweise zu den Verpflichtungen von Spendesk zum Schutz personenbezogener Daten haben können.
B. Datenschutzbeauftragter von Spendesk
Um die Überwachung der Verpflichtungen von Spendesk und die Einhaltung der Datenschutz-Grundverordnung sicherzustellen, hat Spendesk einen Datenschutzbeauftragten (DSB) ernannt, der per E-Mail kontaktiert werden kann (privacy@spendesk.com).
C. Status und Verantwortlichkeiten von Spendesk
Bei der Verarbeitung Ihrer personenbezogenen Daten kann Spendesk als Verantwortlicher oder als Auftragsverarbeiter fungieren. Die besonderen Modalitäten für diese Status sind nachstehend aufgeführt.
1. Spendesk als Verantwortlicher
Gemäß der Datenschutzvorschriften ist der Verantwortliche die juristische oder natürliche Person, die die Mittel und Zwecke der Verarbeitung personenbezogener Daten festlegt.
Als Verantwortlicher verarbeitet Spendesk Ihre personenbezogenen Daten insbesondere dann, wenn Sie Folgendes sind:
Bewerber, Mitarbeiter von Spendesk;
Prospekt, Marketingkontakt, Geschäftskontakt beim Kunden von Spendesk;
Wirtschaftlicher Eigentümer, gesetzlicher Vertreter des Spendesk-Kunden;
Nutzer der Spendesk-Lösung;
Mitglied der von Spendesk betriebenen Communities (insbesondere CFO Connect);
Internetnutzer, der auf der Website surft.
Ihre personenbezogenen Daten werden entweder direkt von Ihnen oder indirekt erhoben, insbesondere im Rahmen von Partnerschaftsabkommen, von Spendesk beauftragten Dienstleistungen, im Rahmen der personenbezogenen Daten, die Sie in sozialen Netzwerken Dritter veröffentlichen, oder durch die Verwendung von Cookies, Pixeln und sonstigen Trackern. Für weitere Informationen über Cookies und andere Trackers bittet Spendesk Sie, die Cookie-Richtlinie zu lesen.
Ihre personenbezogenen Daten werden von Spendesk als Verantwortlicher zu folgenden Zwecken verarbeitet:
Verwaltung und Betreuung des Einstellungsprozesses des Bewerbers (einschließlich Hintergrundprüfung);
Verwaltung des Arbeitsverhältnisses und Zahlung der mit dem Arbeitnehmer verbundenen Sozialabgaben;
Verwaltung der Marketingbeziehung und Verwaltung der Spendesk-Communities (insbesondere CFO Connect);
Geschäftsanbahnung;
Gesetzlich vorgeschriebene Überprüfungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung (BGw-Tf);
Geschäfts- und Vertragsmanagement mit dem Spendesk-Kunden;
Forschung und Entwicklung rund um die Spendesk-Lösung und die Website (insbesondere durch A/B-Tests);
Video- und Audioaufzeichnung von Anrufen zum Zweck der Verbesserung der Dienstleistungen von Spendesk, der Schulung und der Leistungsüberwachung von Spendesk-Mitarbeitern;
Benachrichtigung über Vorfälle nach dem Abonnement von Benachrichtigungs-E-Mails über die Seite https://spendesk.statuspage.io/;
Überwachung der Nutzerkonten in der Spendesk-Lösung zur Bereitstellung von technischem Support für den Kunden und zu Schulungszwecken für Spendesk-Mitarbeiter, die zur Verarbeitung von Kundeninformationen befugt sind; und
Aufdeckung, Verhinderung und Abschwächung von betrügerischen oder sonstigen illegalen Aktivitäten.
2. Spendesk als Auftragsverarbeiter
Gemäß der Datenschutzvorschriften ist der Auftragsverarbeiter die juristische oder natürliche Person, die personenbezogene Daten im Auftrag und auf Anweisung des Verantwortlichen verarbeitet.
Als Auftragsverarbeiter verarbeitet Spendesk Ihre personenbezogenen Daten insbesondere dann, wenn Sie Folgendes sind:
Nutzer der Spendesk-Lösung in ihrer kostenlosen und/oder kostenpflichtigen Version.
Ihre personenbezogenen Daten werden entweder direkt von Ihnen oder indirekt erhoben, insbesondere im Rahmen der API-Integration von Drittplattformen in die Spendesk-Lösung oder im Rahmen der personenbezogenen Daten, die Sie auf sozialen Netzwerken von Drittanbietern veröffentlichen.
Ihre personenbezogenen Daten werden von Spendesk als Auftragsverarbeiter zu folgenden Zwecken verarbeitet:
Bereitstellung einer SaaS-Plattform für die Verwaltung von Zahlungen, Rechnungen und Genehmigungsabläufen für Geschäftsausgaben von Nutzern;
Erbringung von Zahlungsdienstleistungen für den Kunden und die Nutzer, einschließlich:
Eröffnung eines Zahlungskontos im Namen des Kunden
Ausstellung von Debitkarten für jeden Nutzer auf Antrag des Kunden
Verwaltung von Zahlungsvorgängen (einschließlich Kartenzahlungen und Überweisungen)
Verwaltung von Anfragen und Beschwerden des Kunden oder eines oder mehrerer Nutzer
Verwaltung von Geschäftsausgaben: Zahlung und/oder Erstattung der Geschäftsausgaben des Nutzers, Analyse und Aufbewahrung von Rechnungen und Quittungen unter Einhaltung der Buchhaltungs- und Steuervorschriften;
Bereitstellung anonymisierter Daten zu Branchentrends bei den Geschäftsausgaben nach vorab festgelegten Kriterien, die sich nach dem Tätigkeitsbereich des Kunden richten.
D. Einzelheiten zu den von Spendesk verarbeiteten personenbezogenen Daten
1. Spendesk - Verantwortlicher
| Zweck(e) der Verarbeitung | Kategorie(n) der betroffenen Person(en) | Art der verarbeiteten Daten | Rechtsgrundlage(n) | Dauer(n) der Aufbewahrung |
|---|---|---|---|---|
| Betreuung des Einstellungsprozesses | Bewerber | Name, Vorname, Telefonnummer, E-Mail-Adresse, Lebenslauf, Einwanderungsdaten | Berechtigtes Interesse von Spendesk Einwilligung Erfüllung einer gesetzlichen Verpflichtung | Wenn Einwilligung, bis zu zwei (2) Jahre nach Beendigung der Einstellung |
| Verwaltung des Arbeitsverhältnisses und Zahlung der mit dem Arbeitnehmer verbundenen Sozialabgaben | Mitarbeiter | Name, Vorname, Telefonnummer, E-Mail-Adresse, Identitäts- und Sozialversicherungsdokumente, Bankinformationen, Einwanderungsdaten | Berechtigtes Interesse von Spendesk Erfüllung des Arbeitsvertrags Erfüllung einer gesetzlichen Verpflichtung | Während der Dauer des Arbeitsvertrags und während der Aufbewahrungsfristen, die durch die geltenden Vorschriften des Sozialrechts vorgeschrieben sind |
| Überwachung der Navigation auf der Website (siehe Einzelheiten in Cookie-Richtlinie) | Internetnutzer | Cookie-ID, IP-Adresse, Navigationsinformationen | Berechtigtes Interesse von Spendesk Einwilligung | Einzelheiten zu den Aufbewahrungsfristen finden Sie in der Cookie-Richtlinie |
| Verwaltung der Marketingbeziehung: Einladung zu Veranstaltungen, Newsletter, Neuqualifizierung als Prospekt | Marketingkontakt | Name, Vorname, Telefonnummer, E-Mail-Adresse | Berechtigtes Interesse von Spendesk Einwilligung | Bis zu drei (3) Jahre nach dem letzten Kontakt |
| Beziehungsmanagement innerhalb der Spendesk-Communities | Mitglied(er) der Community | Name, Vorname, E-Mail-Adresse, Telefonnummer, Firma, Funktion, Slack-ID | Berechtigtes Interesse von Spendesk Einwilligung | Bis zu drei (3) Jahre nach dem letzten Kontakt |
| Geschäftsanbahnung | Prospekt | Name, Vorname, E-Mail-Adresse, Telefonnummer, Firma, Funktion | Berechtigtes Interesse von Spendesk Einwilligung | Dauer der Akquise und bis zu sechsunddreißig (36) Monate, außer bei vorherigem Widerspruch |
| BGw-Tf Überprüfungen für die Eröffnung und Nutzung des Kundenkontos | Hauptnutzer (oder Bevollmächtigter des Spendesk-Kontos), wirtschaftlicher Eigentümer, gesetzlicher Vertreter des Kunden | Name, Vorname, Postanschrift, Geburtsdatum, Staatsangehörigkeit, E-Mail-Adresse (nur für den Hauptnutzer), Art der Beziehung zum Kunden (nur für wirtschaftliche Eigentümer), Ausweis und alle sonstigen Nachweise, die für die Validierung des Kunden zur Aufnahme einer Geschäftsbeziehung erforderlich sind, Finanztransaktionen | Erfüllung einer gesetzlichen Verpflichtung Berechtigtes Interesse von Spendesk | Während der Dauer der Vertragsbeziehung mit dem Kunden und bis zu fünf (5) Jahre nach Beendigung der Geschäftsbeziehung |
| Geschäfts- und Vertragsmanagement mit dem Spendesk-Kunden | Geschäftskontakt des Kunden | Name, Vorname, Telefonnummer, E-Mail-Adresse, Firma, Funktion | Berechtigtes Interesse von Spendesk | Während der Dauer der Vertragsbeziehung und bis zu fünf (5) Jahre nach Beendigung der Geschäftsbeziehung |
| Forschung und Entwicklung | Internetnutzer, Nutzer | Navigationsdaten, Cookie-ID oder sonstiger Tracker, Geräte-ID(s) (IP-Adresse, IDFA, ADID usw.), Sitzung | Berechtigtes Interesse von Spendesk Einwilligung | Je nach Projekt |
| Video- und Audioaufzeichnung von Anrufen zum Zweck der Verbesserung der Dienste, der Schulung und der Leistungs- überwachung von Spendesk- Mitarbeitern | Mitarbeiter, Prospekt, Kunde, Nutzer | Name, Vorname, Telefonnummer, E-Mail-Adresse, Stimme, Bild | Berechtigtes Interesse von Spendesk Einwilligung | Bis zu sechs (6) Monate nach dem Datum der Aufnahme |
| Benachrichtigung über Vorfälle über die Seite https://spendesk.statuspage.io/ | Person, die die Benachrichtigung abonniert hat | Telefonnummer, E-Mail-Adresse, Slack-ID | Einwilligung | Bis zur Abmeldung von Benachrichtigungen |
| Überwachung des Nutzerkontos | Nutzer | Name, Vorname, Firma, Funktion, Finanztransaktionen | Berechtigtes Interesse von Spendesk Einwilligung | Während der Kontoüberwachung |
| Sicherheit der Systeme | Bewerber, Mitarbeiter, Nutzer | Verbindungsdaten (Nutzer-ID, Geräte-ID, Logs), IP-Adresse | Berechtigtes Interesse von Spendesk | Bis zu dreihundertfünfundsechzig (365) Tage nach Erfassung der Verbindungsprotokolle |
2. Spendesk - Auftragsverarbeiter
| Zweck(e) der Verarbeitung | Kategorie(n) der betroffenen Person(en) | Art der verarbeiteten Daten | Rechtsgrundlage(n) | Dauer(n) der Aufbewahrung |
|---|---|---|---|---|
| Eröffnung des Kundenkontos | Hauptnutzer (oder Bevollmächtigter des Spendesk-Kontos) | Name, Vorname, Postanschrift, Geburtsdatum, Staatsangehörigkeit, E-Mail-Adresse | Berechtigtes Interesse von Spendesk Erfüllung einer gesetzlichen Verpflichtung | Während der Dauer der Vertragsbeziehung mit dem Kunden und bis zu zwei (2) Jahre nach Beendigung der Nutzung der Spendesk-Lösung durch den Hauptnutzer |
| Verwaltung der Nutzung der Spendesk-Lösung durch den Nutzer | Nutzer | Name, Vorname, E-Mail-Adresse, Telefonnummer, Postanschrift (nur bei Versand einer physischen Zahlungskarte), Geschlecht, Foto (optional), Funktion, IBAN (optional), Verbindungsdaten (Nutzername, Passwort, IP-Adresse) | Einwilligung Erfüllung einer gesetzlichen Verpflichtung | Bis zu zwei (2) Jahre nach Beendigung der Nutzung der Spendesk-Lösung durch den Nutzer |
| Verwaltung von Geschäftsausgaben | Nutzer | Name, Vorname, Nutzerkennung, E-Mail-Adresse, Finanztransaktion(en), Rechnung(en) und Quittung(en) | Erfüllung einer gesetzlichen Verpflichtung | Bis zu zwei (2) Jahre nach Beendigung der Nutzung der Spendesk-Lösung durch den Nutzer Bis zu fünf (5) Jahre nach Beendigung der Geschäftsbeziehung Zehn (10) Jahre, beginnend mit dem Ende des Kalenderjahres, in dem die Rechnungen/Quittungen eingegangen sind |
E. Einsatz von Unterauftragsverarbeitern
Im Zusammenhang mit bestimmten Verarbeitungen Ihrer personenbezogenen Daten kann Spendesk Unterauftragsverarbeiter beauftragen.
Spendesk wählt seine Auftragsverarbeiter mit größter Sorgfalt aus und greift nur auf Auftragsverarbeiter zurück, die ausreichende Sicherheitsgarantien bieten.
Weitere Informationen zu Auftragsverarbeitern, die an der Bereitstellung der Spendesk-Lösung beteiligt sind, finden Sie auf der folgenden Seite: https://www.spendesk.com/de/legals/subprocessors.
F. Sicherheitsmaßnahmen
Spendesk legt größten Wert auf die Sicherheit der ihm anvertrauten personenbezogenen Daten. In Übereinstimmung mit der Datenschutzvorschriften verpflichtet sich Spendesk, alle notwendigen Vorsichtsmaßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten und sie insbesondere vor unbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust, Korruption, Verbreitung oder unberechtigtem Zugriff sowie vor jeder anderen Form der unrechtmäßigen Verarbeitung oder Offenlegung gegenüber unbefugten Personen zu schützen.
Diesbezüglich tut Spendesk Folgendes:
Setzt Sicherheitspraktiken und -maßnahmen um, die den Standards unserer Branche entsprechen, um die Integrität, Verfügbarkeit und Vertraulichkeit Ihrer personenbezogenen Daten zu gewährleisten;
Setzt eine Politik zur Verwaltung der Zugriffsrechte auf Ihre personenbezogenen Daten auf der Grundlage des Prinzips des „Least Privilege“, Wissensbedarf und Funktion (“Role based Access Control”) um;
Setzt geeignete elektronische, physische und verwaltungstechnische Verfahren um, um die verarbeiteten Daten zu schützen und zu erhalten;
Stellt sicher, dass er ausreichende und konforme Vertraulichkeitsmaßnahmen mit den Personen, die Zugriff auf Ihre personenbezogenen Daten haben, umsetzt;
Stellt sicher, dass es nur Partner und/oder Auftragsverarbeiter einsetzt, die die von Spendesk geforderten Sicherheitsanforderungen erfüllen;
Führt regelmäßige Sicherheitskontrollen und Audits an seinen Systemen durch, um die Robustheit der Systeme bescheinigen zu können.
Spendesk gibt Ihre personenbezogenen Daten nicht anderweitig an Dritte weiter, außer wenn: (1) Sie (oder Ihr Kontoinhaber, der in Ihrem Namen handelt) die Offenlegung beantragen oder genehmigen; (2) die Offenlegung notwendig ist, um Transaktionen zu bearbeiten oder Dienstleistungen zu erbringen, die Sie angefordert haben; oder wenn (3) Spendesk verpflichtet ist, Ihre personenbezogenen Daten an eine Verwaltungs- oder Justizbehörde weiterzugeben.
G. Hosting und Übertragung von personenbezogenen Daten
Die von Spendesk verarbeiteten personenbezogenen Daten werden auf sicheren Servern innerhalb der Europäischen Union gehostet.
Für den Fall, dass personenbezogene Daten in Länder außerhalb der Europäischen Union übertragen werden, verpflichtet sich Spendesk, die von der Datenschutzvorschriften geforderten Maßnahmen zu ergreifen (Sicherheitsmaßnahmen, angemessene Übertragungsmechanismen usw.).
H. Ihre Rechte in Bezug auf Ihre personenbezogenen Daten
Gemäß der Datenschutzvorschriften haben Sie jederzeit das Recht, auf Ihre personenbezogenen Daten zuzugreifen, sie zu berichtigen, ihre Verarbeitung einzuschränken, sie zu löschen und zu entfernen, sowie das Recht auf Widerspruch und das Recht auf Übertragbarkeit.
Sie können uns zudem im Voraus Ihre Anweisungen in Bezug auf die Handhabung Ihrer personenbezogenen Daten nach Ihrem Tod übermitteln.
Um Ihre Rechte auszuüben oder mehr darüber zu erfahren, können Sie sich an unseren Datenschutzbeauftragten wenden:
per Post: Spendesk SAS - Data Protection Officer (DPO) - 51 rue de Londres, 75008 Paris, Frankreich;
per E-Mail: privacy@spendesk.com
Wir werden Ihre Anfrage innerhalb von dreißig (30) Tagen beantworten, wobei diese Frist gegebenenfalls verlängert werden kann, und können eine Kopie Ihres Identitätsnachweises lediglich zur Überprüfung anfordern.
Wir können jedoch eventuell bestimmten Ihrer Anträge auf Ausübung von Rechten nicht nachkommen, insbesondere wenn die Verarbeitung Ihrer personenbezogenen Daten für die Erfüllung eines laufenden Vertrags erforderlich ist oder die Verarbeitung aufgrund einer für Spendesk geltenden rechtlichen Verpflichtung erfolgt.
In Bezug auf Anfragen zu personenbezogenen Daten, die im Rahmen der Spendesk-Lösung verarbeitet werden, können Sie jederzeit Ihre personenbezogenen Identifikationsdaten (Titel, Vorname, Nachname, E-Mail, Telefonnummer, Passwort) ändern, indem Sie sich gemäß der Politik zur Identifizierung und Nutzung der Spendesk-Lösung, die möglicherweise von Ihrem Arbeitgeber eingerichtet wurde, mit Ihrem Konto verbinden und in die Rubrik „Mein Profil“ gehen.
Sie können die Ausübung Ihrer Rechte bei Ihrem Arbeitgeber (dem Verantwortlichen) beantragen, aber auch, indem Sie uns direkt schreiben an: privacy@spendesk.com. Wir werden Ihren Arbeitgeber über die Art Ihrer Anfrage und die weiteren Schritte informieren.
Wenn Sie der Ansicht sind, dass Spendesk seine Verpflichtungen zum Schutz personenbezogener Daten nicht erfüllt oder Ihre Anfragen nicht zufriedenstellend beantwortet, können Sie sich an die französische Aufsichtsbehörde - Commission Nationale de l‘Informatique et des Libertés (CNIL) - über deren Website (www.cnil.fr) oder per Post (CNIL, Service des Plaintes, 3 place de Fontenoy - TSA 80715 -75334 Paris Cedex 07) wenden.
Schließlich müssen Sie gemäß den Bestimmungen von Artikel L.561-45 des französischen Währungs- und Finanzgesetzbuchs (Code Monétaire et Financier) Ihren Antrag auf Auskunft bezüglich der im Rahmen unserer Verpflichtungen in Bezug auf die BGw/Tf durchgeführten Verarbeitungen indirekt an die französische Aufsichtsbehörde, die Commission Nationale de l‘Informatique et des Libertés (CNIL), richten.
Um mehr über Ihre Rechte in Bezug auf den Schutz personenbezogener Daten zu erfahren, gehen Sie bitte auf die Website der CNIL: www.cnil.fr.